기업에 확산되는 QR 코드 기반 공격 ‘퀴싱’··· CISO가 알아야 할 대처법은?

최근 QR 코드를 활용한 피싱 공격 일명 ‘큐싱’이 급격히 증가하고 있다. 지금이야 말로 CISO의 선제 조치가 필요할 때다.
 

QR 코드는 공격에 통합하기 쉽고, 탐지 및 예방이 어렵고, 사용자를 속여 인증 정보를 제공하도록 유도하는 데 효과적이다. 자연스레 QR 코드는 공격자들이 자주 이용하는 유용한 도구로 떠오르고 있다. 다행히도 사이버 보안 전문가들은 이러한 퀴싱 공격에 대응하는 방법을 제시하고 있다.  

퍼셉션포인트(Perception Point), 체크포인트(Check Point), AT&T를 비롯한 여러 IT 기업이 2023년에 QR코드 피싱 캠페인(줄여서 퀴싱)이 급격히 증가할 것으로 예측했다. 이는 매우 중요하게 봐야 할 추세다. 엄밀히 말하면 퀴싱은 일반적인 피싱 모델을 약간 변형한 것에 불과하지만, 퀴싱 기법에는 주목할 만한 몇 가지 특징이 있다.

퀴싱은 일상에서 자주 볼 수 있는 QR코드 이미지 형식으로 정보(혹은 악성 링크)를 인코딩하는 방식으로 작동한다. 기술적으로 보이는 QR 코드에 직원은 쉽게 속아 넘어가고 자동화된 시스템이 있더라도 탐지하기 어려울 때가 많다.
 
퀴싱이 증가하는 이유는?
보안 플랫폼의 피싱 대응 능력이 전반적으로 향상됨에 따라 악의적인 공격자는 방어 체계를 우회할 새로운 방법을 찾고 있다. 제로 트러스트 정책과 다중 인증(Multifactor Authentication, MFA)은 피싱 공격을 일부 막아준다.

공격자에게 QR 코드는 여러 가지 이점을 제공한다. 일단 일반 비즈니스에서 자주 사용되고, 무료 리소스를 사용해 가짜 이메일, 첨부파일, 웹사이트 링크 등으로 공격할 수 있는 QR 코드를 만들 수 있다. 최소한의 노력으로 공격의 효과를 높이는 것이다. 

QR 코드는 공식적인 것처럼 보이고 사용자에게 편리하고 빠른 옵션을 제공하기 때문에 탁월한 미끼가 될 수 있다. 그러니 자동화된 시스템이 다른 피싱 기법보다 탐지하기가 더 어렵다. 여기에 QR 코드는 정보를 인코딩하는 이미지에 불과하다. 이메일에 포함된 악성 데이터의 양을 줄이는 데 사용할 수 있어 스팸 필터를 피하는데 용이하다.

보안 기업 바라쿠다(Barracuda)의 이메일 보호 담당 이사인 올레시아 클레브척은 QR 코드가 생성하기 쉽고 URL 피싱보다 더 효과적이라고 설명했다.  그는 “URL 스캐닝 및 URL 재작성 기술은 스캔할 링크가 없기 때문에 QR코드 공격에 효과적이지 않다. 사용자가 스마트폰으로 QR 코드를 스캔해야 하기 때문에 기본적으로 이러한 공격은 회사의 보안 범위를 벗어난 완전히 새로운 장치로 옮겨간다"라고 설명했다.

퀴싱 방어하기
방어자의 관점에서 악성 QR 코드의 위험은 인적 요소(합법적인 느낌을 주며 설계상 매우 단순함)와 기술적 요소(이메일이나 메시지의 실제 내용을 난독화 하여 시스템이 탐지하기 어렵게 함) 모두로부터 발생한다. 결국 퀴싱 문제를 관리하려면 다음과 같은 여러 접근 방식이 필요하다.

• 교육: 사용자가 퀴싱 트렌드를 인지하도록 하고 QR 코드가 합법성을 나타내는 것이 아니라는 점을 강조하라.
• 예방: 이메일과 URL을 필터링하는 자동화 시스템을 검사하고 QR 코드에 대해서 강화해야 한다. 기업의 기존 QR코드 사용을 조사하여 공격자가 QR 코드를 도용하기 어렵게 만들어야 한다.
• 대응: 계정 유출을 방지하기 위해 탐지 및 잠금 메커니즘을 마련해야 한다.
• 검증: QR코드 공격 레드팀 테스트 및 공격 시뮬레이션을 통합하라.

교육 및 인식
기술 업계에 있으면 모든 것이 기술로 해결될 수 있을거라고 생각하곤 한다. 보안 부문도 솔루션으로 문제를 해결하려는 노력이 많지만 사실 솔루션 외에도 교육과 인식도 보안 사고 방어에 중요하다. 보안 전문가라면 피싱 이메일로 보안 문제가 발생할 수 있다고 강조하고 더 중요한 사항에 대해서는 따로 공지를 내서 경각심을 높이곤 한다. 퀴싱을 막을려면 한 간지 요소를 더 추가해야 한다. QR 코드는 늘 겉으로 보기에 합법적으로 보인다는 사실이다. 

해커의 공격에 당하지 않으려면 결국 직원 교육은 필수적이다. 하지만 한 번의 직원 교육으로 끝내선 안된다. QR 코드는 놀라울 정도로 무해하고 유혹적이다. 보안 전문가는 QR코드가 포함된 이메일은 다른 이메일과 동일한 수준으로 의심해야 한다는 메시지를 전달해야 한다. 직원들에게 비밀번호를 재사용하지 않도록, 특히 업무용 계정과 개인용 계정 간에 비밀번호를 재사용하지 않도록 상기시키는 것도 나쁘지 않다.

QR코드 피싱 방지
기업은 직원 교육과 동시에 기술적인 방어책을 마련해야 한다. 스캔 시스템이 QR 코드를 감지하고, 임베드 또는 첨부 파일로 압축을 풀고, 악성 콘텐츠를 찾도록 구성해 둬야 한다. 미리 사내 기술 최전방에서 퀴싱을 방어하자는 것이다. 이 경우 직원의 받은 편지함에 QR 코드가 도착하지 않을테니 위협이 되지 않을 것이다.

QR 코드는 주로 인라인으로 삽입하거나 워드 파일이나 PDF와 같은 다른 문서에 첨부하는 등 다양한 방식으로 삽입할 수 있다. 공격자들은 QR코드가 차지하는 공간이 작다는 점을 교묘하게 이용하여 스캔 기술을 피해왔다. 그레ㅐ서 기업 내 보안팀은 내부에서 사용 중인 보안 솔루션에 QR 코드 방어 기술이 있는지 확인해야 한다.

이메일 발신자 도메인을 화이트리스트/블랙리스트에 등록하는 것도 피싱과 특히 퀴싱에 도움이 될 수 있는 좋은 방법이다.

교차-기기 및 모바일 보안
QR 코드는 사용자가 모바일 기기로 코드를 스캔하는 연결된 다른 기기와 상호 작용하는 경우가 많다. 일반적으로 모바일 기기는 보안이 취약한 플랫폼을 제공할 수 있으며, 이러한 이동은 사용자를 한 업무 네트워크에서 다른 네트워크로 전환할 수 있다. 사용자를 모바일 기기로 유도하는 것은 최근 몇 년 동안 공격자들이 자주 사용하는 전술이다.

QR코드 공격은 디바이스 간 상호 작용에 대한 보안과 정책에 중점을 둔다. 특히 공격자는 사용자가 개인 디바이스를 사용하여 회사 컴퓨터를 스캔하거나 그 반대로 스캔할 수 있는 경우를 공략한다.

IT 관리 서비스 기업 옥타(Okta)의 수석 위협 인텔리전스 연구원 매튜 우디워드는 “도메인에서 발생하는 URL 단축 및 리디렉션에 대한 엄격한 제어를 포함하여 퀴싱 공격에 대한 복원력에 영향을 미칠 수 있는 여러 가지 요소를 고려해야 한다”라며 “기업들은 어떤 QR 코드를 배포하는지 주의 깊게 살펴보고 ‘누군가 이 링크를 어떻게 악용할 수 있을까?’라고 스스로에게 물어봐야 한다”라고 조언했다.

위협 및 방어 도구로 활용되는 AI
생성형 AI 기술이 발전하면서 퀴싱 공격에서 AI가 자주 사용되고 있다. 특히 퀴싱 이메일을 생성할 때 AI가 이용되고 있다. 방어자 입장에서는 AI로 맞불을 놓을 수 있다. 바라쿠다의 클레브척은 “AI와 이미지 인식 기술을 사용하면 퀴싱 공격을 탐지하는 데 유용하다. AI 기반 탐지는 발신자, 이미지 크기, 콘텐츠, 배치 등 악의적인 존재의 신호가 될 수 있는 다른 신호도 찾아내어 악의적인 의도를 판단한다”라고 설명했다.

머신러닝 기반 탐지가 중요한 이유는 주어진 아티팩트에 대한 광범위한 그림을 형성하고 사람이 예측할 수 있는 범위를 넘어 악의적인지 아닌지를 예측할 수 있기 때문이다. AI는 공격 이벤트에 대한 전반적인 그림을 형성하고 실제 학습을 기반으로 판단을 내릴 수 있다.

레드팀 공격 시뮬레이션 및 침투 테스트
테스트 없이는 현재 상황을 알 수 있는 방법이 없다. 조직은 직원, 기술 및 보안 팀의 대응을 살펴보기 위해 모의 공격을 실행해야 한다. 이러한 시뮬레이션에 QR 코드를 포함하는 것은 중요한 단계이다. 이러한 유형의 시뮬레이션은 특히 침해된 계정 탐지 및 잠금과 관련하여 조직이 침해에 얼마나 잘 대응하는지 파악하는 데 도움이 될 수 있다.

우드워드도 이에 동조한다. 그는 “사이버보안은 로그인 후 계정 탈취를 방지하기 위해 엄격한 제어 기능을 배포해야 한다. 활성 크리덴셜 스터핑 시도를 모니터링하고 유출된 비밀번호 탐지를 사용하여 ID 수준에서 이를 차단해야 한다”라고 표현했다.

다중 인증의 역할
다중 인증(Multifactor Authentication)은 사용자 정보 유출 피해를 제한하여 QR코드 공격을 피하는 데 도움이 될 수 있다. 다만 흥미롭게도 QR코드 피싱 이메일은 종종 2단계 인증 이메일로 위장하는 경우가 많다. 그러니 직원에게 경고를 보낼 때나 합법적인 인증 알림을 시스템을 구성할 때 퀴싱을 미리 염두해야 한다.

아이디어는 간단하다. 해커는 피싱 URL이나 멀웨어 다운로드 등 스캔 가능한 정보를 인코딩하기 위해 다양한 방법으로 QR 코드를 삽입할 수 있다. QR 코드는 스캔 후 다중 인증을 하는 구조를 넣으면 QR 코드 공격을 단계별로 막는 데 도움을 받을 수 있다. 

지금까지 퀴싱 공격이 주로 일반 사용자를 대상으로 이루어졌지만, 앞으로는 기업과 정부를 대상으로 한 공격이 확산될 가능성이 높다.
ciokr@idg.co.kr